<div align="Center"> 
<p><b>Название урока:</b> Проводение атак HTTP Splitting </p>
 </div>
 
<p><b>Тема изучения:</b> </p>
На данном уроке вы ознакомитесь с атаками класса HTTP Splitting
 <br /> 
<div align="Left"> 
<p>
<b>Как работают такие атаки:</b>
</p>
<p>
    Атакующий посылает веб-серверу вредоносные данные вместе с ожидаемыми. Уязвимое приложение не проверяет полученную
информацию на наличие символов CR (возврат коретки, обозначается с помощью %0d или \r) и LF (перевод строки, обозначается
с помощью %0a или \n). Данные символы не только позволяют атакующему контролировать возвращаемые сервером заголовки и тело ответа,
но и дают ему возможность создавать поддельные ответы, содержимое которых будет ему полностью подконтрольно.
</p>
<p>
    Эффект от таких атак может усиливаться когда они проводятся вместе с атаками класса "Отравление кеша" (Cache Poisoning).
Смысл их в отравлении кеша жертвы по средствам подсовывания ей с помощью HTTP Splitting поддельной страницы,
пришедшей якобы от сервера.
</p>
<p>
Вместе с этим, с помощью уязвимостей позволяющих провести разбиение HTTP-ответа, злоумышленник может заставить сервер
отослать клиенту поддельный заголовок <b>Last-Modified:</b> с датой из будущего. От этого браузер клиента станет посылать серверу
неверное содержимое в заголовке <b>If-Modified-Since</b>. Сервер, в свою очередь, всегда будет отвечать клиенту что (отравленная)
страница не изменилась и клиент постоянно будет видеть страницу подсунутую злоумышленником.
</p>
<p>Простой пример ответа с кодом 304:
<blockquote>HTTP/1.1 304 Not Modified <br />
Date: Fri, 30 Dec 2005 17:32:47 GMT</blockquote>
</p>
</div>
<p><b>Основные цели и задачи:</b> </p>
<!-- Start Instructions -->
<p>Данный урок имеет две стадии. На первой вы изучаете проведение атак HTTP Splitting, а на второй научитесь совмещать
их с отравлением кеша. </p>
<p>
Введите любой язык в форму поиска. После отправки формы приложение осуществит переадресацию на другую ссылку,
расположенную на этом же сервере. С помощью помещения CR (%0d) и LF (%0a) в название языка вы должны изучить проведение атак
данного типа.
Ваша цель состоит в том, чтоб заставить сервер отправить ответ 200 ОК. Если содержимое экрана изменится от вашей атаки,
просто перейдите на главную страницу. Как только шаг 2 будет выполнен успешно вы увидите что в левом меню появилась новая
зелёная отметка на против этого раздела.
</p>
<!-- Stop Instructions -->

